amvinfe
24-12-2002, 01:45
24.12.2002
Nuova variante di Opaserv: W32.Opaserv.J.Worm.
Il worm come prima cosa verifica d'essere l'unica copia presente sulla macchina, creando per lo scopo un mutex
dal nome Srv3231415, nel caso esistesse giā termina l'esecuzione in quanto la macchina risulta gėā infetta.
Copia Srv32.exe in C:\WINDOWS e sempre sulla macchina in locale Srv32Old <Path\original worm name> in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices (infezione in locale)
salva due file di dati nella root del sistema: SrvTsk e SrvRes file che gli serviranno per lo scambio di dati con il sito con cui comunica
(infezione in locale). Mentre la presenza del file temp.ini nel root del sistema significa
un'infezione da remoto.
Come per le precedenti varianti, anche per questa č necessario, per la sua rimozione,
non essere connessi, avviare in modalitā provvisoria e rimuovere i files prima citati nonchč
il valore run=C:\WINDOWS\Srv32.exe da win.ini
Maggiori informazioni le trovate su:
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.j.worm.html
Marco(amvinfe)
Nuova variante di Opaserv: W32.Opaserv.J.Worm.
Il worm come prima cosa verifica d'essere l'unica copia presente sulla macchina, creando per lo scopo un mutex
dal nome Srv3231415, nel caso esistesse giā termina l'esecuzione in quanto la macchina risulta gėā infetta.
Copia Srv32.exe in C:\WINDOWS e sempre sulla macchina in locale Srv32Old <Path\original worm name> in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices (infezione in locale)
salva due file di dati nella root del sistema: SrvTsk e SrvRes file che gli serviranno per lo scambio di dati con il sito con cui comunica
(infezione in locale). Mentre la presenza del file temp.ini nel root del sistema significa
un'infezione da remoto.
Come per le precedenti varianti, anche per questa č necessario, per la sua rimozione,
non essere connessi, avviare in modalitā provvisoria e rimuovere i files prima citati nonchč
il valore run=C:\WINDOWS\Srv32.exe da win.ini
Maggiori informazioni le trovate su:
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.j.worm.html
Marco(amvinfe)